La gestione della configurazione di sicurezza (SCM) è una questione critica per le organizzazioni e una parte fondamentale di molti framework di sicurezza informatica.
La gestione della configurazione di sicurezza informatica prende in considerazione quali e quanti hardware possiede l'organizzazione e come proteggerli, offrendo visibilità su ogni modifica apportata e tenendo traccia dei singoli elementi di configurazione, ovvero di qualsiasi risorsa coinvolta nell'erogazione dei servizi IT, per garantire che i sistemi mantengano prestazioni ottimali man mano che le modifiche vengono apportate nel tempo.
Che cos'è la gestione della configurazione?
Secondo lo standard ISO/IEC 27002, l'obiettivo della gestione della configurazione è "garantire che hardware, software, servizi e reti funzionino correttamente con le impostazioni di sicurezza richieste e che la configurazione non venga alterata da modifiche non autorizzate o errate".
Sebbene possa sembrare semplice, la gestione della configurazione non può essere efficace senza una conoscenza approfondita delle risorse IT dell'organizzazione, attraverso la creazione di un inventario completo di hardware (come sistemi operativi, host e dispositivi di rete) e software (ovvero applicazioni in esecuzione su questi sistemi o nel cloud), per garantire una visione chiara e dettagliata dell'ambiente IT e delle sue interazioni.
Infrastruttura come codice
Quando si tratta di infrastrutture IT, la maggior parte delle aziende cerca soluzioni che siano scalabili e che possano essere implementate sempre nello stesso modo. Ecco perché un numero crescente di ambienti IT aziendali sta adottando pratiche di virtualizzazione, automazione e gestione per fornire, distribuire e gestire risorse e servizi tramite software, una pratica nota come Infrastructure as Code (IaC).
L'IaC è un approccio che automatizza la gestione e il provisioning delle risorse infrastrutturali utilizzando metodi software-defined; invece di configurare manualmente componenti come server, reti e storage, l'IaC utilizza file leggibili dalle macchine per definirli e configurarli, rafforzando le pratiche di sicurezza informatica. Dai data center alle telecomunicazioni e oltre, questa infrastruttura software-defined sta trasformando i settori industriali e incoraggiando l'innovazione.
Mentre IaC automatizza la creazione di componenti infrastrutturali tramite codice, la gestione della configurazione si concentra sull'automazione della configurazione e della manutenzione di applicazioni e servizi software in esecuzione su tale infrastruttura. Questa metodologia, nota come Configuration as Code (CaC), tratta gli script e le impostazioni di configurazione come codice. Insieme, IaC e CaC costituiscono la base del moderno processo di gestione della configurazione, promuovendo automazione, coerenza e scalabilità negli ambienti IT.
Come funziona la gestione della configurazione?
Come in qualsiasi progetto IT, la sicurezza informatica deve essere integrata nello sviluppo del software fin dall'inizio.
I sistemi di gestione della configurazione hanno due componenti principali:
- Il controllo delle versioni monitora e gestisce le modifiche al codice software e ai file correlati nel tempo, garantendo che ogni modifica venga registrata meticolosamente e consentendo a più sviluppatori di lavorare sulla stessa base di codice senza conflitti;
- La gestione dei problemi monitora e organizza problemi, miglioramenti e attività durante l'intero processo di sviluppo, garantendo che i problemi vengano identificati, prioritizzati, assegnati e risolti in modo efficiente.
Insieme, il controllo delle versioni e la gestione dei problemi creano un framework potente per mantenere l'integrità e la qualità dei progetti software.
I pilastri della gestione della configurazione
La gestione della configurazione si basa su cinque pilastri fondamentali: pianificazione, identificazione, controllo, contabilità dello stato e audit. Questi pilastri costituiscono la spina dorsale dell'intero processo di gestione della configurazione e sono essenziali per il mantenimento di una documentazione accurata, il controllo delle versioni e la gestione delle modifiche nei sistemi IT.
- Pianificare il percorso futuro: una corretta pianificazione della configurazione definisce quali elementi del progetto sono "configurabili" e richiedono modifiche formali. Ciò consente di definire, gestire e verificare le modifiche a ciascun componente del progetto;
- Identificazione degli elementi configurabili attraverso un inventario completo, che includa informazioni e dati di configurazione da ogni applicazione e dispositivo di rete, che possono così essere facilmente compresi, gestiti e ripristinati in caso di disastro.
- Definizione di una baseline: tutti i requisiti di configurazione vengono documentati in un repository centrale, che fungerà da "fonte di verità" definitiva. Man mano che si verificano modifiche, è possibile misurarne i progressi confrontandoli con le configurazioni di base.
- Controllo delle versioni: tutte le modifiche apportate a sistemi, applicazioni e dispositivi di rete vengono tracciate e registrate. È possibile utilizzare strumenti di gestione della configurazione per monitorare sistematicamente queste modifiche, mantenere una cronologia delle modifiche e garantire che tutte le configurazioni rimangano coerenti e affidabili durante l'intero ciclo di vita del sistema software.
- Revisione e audit: la fase finale del processo di gestione della configurazione prevede la verifica della conformità del software ai requisiti di configurazione stabiliti. Revisioni e audit regolari garantiscono la conformità e individuano rapidamente eventuali deviazioni.
Ridurre le complessità
Esistono numerose fonti di orientamento per l'elaborazione di pratiche efficaci per la gestione della configurazione.
Aderendo a questi standard, le organizzazioni possono sfruttare metodologie collaudate e best practice che promuovono efficienza, affidabilità e sicurezza nelle loro implementazioni IaC. Nel complesso, questi standard costituiscono una roadmap che può essere personalizzata in base alle specifiche esigenze di automazione dell'infrastruttura di ciascuna organizzazione:
-
ISO/IEC 27001:2022 Sistemi di gestione della sicurezza delle informazioni
-
ISO/IEC 27002:2022 Sicurezza delle informazioni, sicurezza informatica e tutela della privacy — Controlli di sicurezza delle informazioni
-
ISO 10007:2017 Gestione della qualità — Linee guida per la gestione della configurazione
-
ISO/IEC/IEEE 15288 Processi del ciclo di vita dei sistemi